Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
huahsiung
V2EX  ›  程序员

如果把评论提交的‘<’,‘"’,‘>’,‘&’都转码为&lt;&gt;%22&;&amp;之类的,是不是就可以防止 xxs。

  •   
  •   huahsiung · Sep 29, 2023 · 3041 views
    This topic created in 942 days ago, the information mentioned may be changed or developed.
    博客的评论,如果过滤关键词 script,onerror 等等可能会误判。
    ‘<’,‘"’,‘>’,‘&’转码为
    &lt;&gt;%22;&amp;

    感觉转码这四个,应该就稳了。
  • amp
  • onerror
  • xxs
  • script
    8 replies    2023-09-29 22:16:15 +08:00
    vigossliao
        1
    vigossliao  
       Sep 29, 2023
    用现成库应该省事多了

    https://github.com/leizongmin/js-xss
    jsq2627
        2
    jsq2627  
       Sep 29, 2023   ❤️ 1
    现在浏览器有原生 HTML Sanitizer 了
    https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API
    agagega
        3
    agagega  
       Sep 29, 2023
    如果只需要展示纯文本的话,用 innerText 不就行了?
    hgc81538
        4
    hgc81538  
       Sep 29, 2023 via iPhone
    應該轉碼&<>"'去&amp;&lt;&gt;&quot;&#039;就穩了
    ysc3839
        5
    ysc3839  
       Sep 29, 2023 via Android
    可能不止这几个字符,建议直接使用现成的 html 转义库
    rabbbit
        6
    rabbbit  
       Sep 29, 2023
    https://github.com/cure53/DOMPurify
    xiangyuecn
        7
    xiangyuecn  
       Sep 29, 2023
    onclick='alert(1)'
    xiangyuecn
        8
    xiangyuecn  
       Sep 29, 2023
    不用白名单,直接全部 ASCII 字符除了换行字母数字全部用 &#123; 转义完事
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1326 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 48ms · UTC 23:46 · PVG 07:46 · LAX 16:46 · JFK 19:46
    ♥ Do have faith in what you're doing.